„Hacker" als pauschaler Begriff verschleiert mehr, als er zeigt. Wer im Web angreift, tut das aus unterschiedlichen Motiven, mit unterschiedlichen Ressourcen und gegen unterschiedliche Ziele. Wer die Akteure auseinanderhält, baut wirksamere Verteidigung — und vermeidet zwei häufige Fehler: das eigene Risiko zu unterschätzen (weil man sich als „uninteressant" einstuft) und es zu überschätzen (weil man sich als Hauptziel staatlicher Geheimdienste sieht). Dieser Artikel ordnet die fünf gängigsten Profile.

01 · Abschnitt

Die Karte im Überblick

ProfilMotivationAufwand pro ZielWer ist Ziel?Hauptverteidigung
Opportunistische Bots / Skript-KiddiesMitläufer, Geltung, kleines GeldSehr niedrigAlle, automatisiertPatchen, Defaults raus
Organisierte CyberkriminalitätGeldMittelUnternehmen jeder Größe, Privatpersonen mit Geld/Daten2FA, Backups, Awareness
HacktivistenPolitische WirkungMittel bis hochBehörden, Konzerne, SymbolträgerAngriffsfläche minimieren, Krisen-Kommunikation
InsiderFrust, Geld, Erpressung, VersehenNiedrig (haben schon Zugang)Eigene OrganisationLeast Privilege, Audit-Logs, Off-Boarding
APTs / StaatenSpionage, Sabotage, EinflussSehr hoch, geduldigPolitik, Militär, kritische Infrastruktur, Journalismus, AktivismusSpezialisierte Beratung, Hardware-Hygiene, Tor/Tails wo nötig

Die Tabelle ist eine Sortierung nach Aufwand pro Ziel, nicht nach Gefährlichkeit. Ein Bot, der Millionen Endpoints in Stunden abscannt, ist im Schnitt eine größere Bedrohung als ein staatlicher Akteur, der dich nicht im Visier hat.

02 · Abschnitt

Opportunistische Bots und Skript-Kiddies

Die mit Abstand häufigste Realität: ein automatisierter Scanner läuft das Internet ab und probiert eine Hand voll bekannter Lücken aus. Veraltete WordPress-Plugins, exponierte phpmyadmin-Pfade, offene Redis-Instanzen ohne Authentifizierung, Default-Credentials auf Admin-Routern. Der Aufwand pro Ziel geht gegen null — Massen-Reichweite bringt den Schnitt.

Skript-Kiddies sind die menschliche Variante: jemand, der ein fertiges Exploit-Kit verwendet, ohne die zugrundeliegende Lücke zu verstehen. Motivation reicht von Geltungsbedarf über Trolling bis zu kleinem Krypto-Mining oder Botnet-Aufbau.

Was schützt zuverlässig:

  • Aktuelle Software. Was nicht mehr maintained ist, ist nicht sicher.
  • Keine Default-Credentials. admin/admin wird in den ersten Sekunden nach Inbetriebnahme getestet.
  • Standard-Pfade absichern. /wp-admin, /phpmyadmin, /.git, /.env werden routinemäßig probiert.
  • Fail2ban / Crowdsec. Schon nach wenigen Fehlversuchen IPs blocken.
  • WAF. Stoppt die meisten Standard-Payloads, bevor sie die App erreichen.

Das ist die niedrige Hängende Frucht — und genau dort werden 80 Prozent der Vorfälle entschieden.

03 · Abschnitt

Organisierte Cyberkriminalität

Hier wird Sicherheit zum Geschäftsmodell — gegen dich. Die wichtigsten Spielarten:

  • Ransomware-Banden verschlüsseln Unternehmens-Daten und erpressen Lösegeld; zunehmend ergänzt um Doppelte Erpressung (Daten werden vorher abgesaugt und Veröffentlichung wird angedroht). LockBit, BlackCat/ALPHV, Cl0p sind seit Jahren die bekannteren Namen — mit wechselnder Besetzung nach Strafverfolgungs-Aktionen.
  • Phishing-as-a-Service — fertige Phishing-Kits inklusive Hosting werden gemietet. Der Käufer braucht keine technischen Kenntnisse; Toolkits wie EvilProxy hängen sich sogar zwischen Login und MFA-Anbieter (Adversary-in-the-Middle).
  • Banking-Trojaner und Info-Stealer — schleichen Session-Cookies, Browser-Passwörter und Krypto-Wallet-Schlüssel aus. Die Beute wird auf Foren weiterverkauft.
  • Business-Email-Compromise (BEC) — keine Malware nötig: ein gekapertes oder gefälschtes Postfach genügt, um eine Rechnung mit geänderter IBAN unterzubringen. Die FBI-IC3-Statistiken zeigen seit Jahren BEC-Schäden, die Ransomware übertreffen.
  • Credential-Stuffing-Operatoren — kaufen geleakte Anmeldedaten in Bulk und probieren sie auf Hunderten anderen Diensten durch. Wer Passwörter wiederverwendet, ist hier das Hauptopfer.

Realistisches Gegenrezept:

  • 2FA überall, idealerweise mit Hardware-Key oder Passkey, mindestens TOTP-App.
  • Backups auf separatem Account, separater Plattform, offline oder immutable. Restore-Tests in Ruhe — nicht im Notfall.
  • Awareness im Team, vor allem für die Buchhaltung (BEC), für Tech-Support-Anfragen und für SMS/Anrufe, die Druck aufbauen.
  • EDR / Endpoint-Härtung auf Endgeräten — Office-Makros, gefährliche Dateitypen, ausgeklügelte Sandboxing-Strategien.
04 · Abschnitt

Hacktivisten

Politisch motivierte Akteure greifen für öffentliche Wirkung an: ein Defacement der Website einer Behörde, ein Daten-Dump aus einem Unternehmen, das politisch missliebig ist, ein DDoS, der zeitgleich mit einer realen Demonstration läuft. Gruppen wie Anonymous haben den Begriff geprägt; jüngere Beispiele sind Kollektive, die rund um Konflikte aktiv werden (Ukraine-Krieg, Nahost-Konflikte).

Charakteristisch:

  • Symbolträger als Ziele — Energiekonzerne, Rüstungsfirmen, religiöse Organisationen, Parteien, Behörden.
  • Mittel von Low- bis Mid-Tech — DDoS-Tools, einfache Web-Schwachstellen, Phishing gegen einzelne Mitarbeitende, Doxxing.
  • Öffentliche Kanäle. Erfolg wird auf Telegram, X/Twitter, Mastodon und auf eigenen Leak-Seiten kommuniziert. Reputation ist Teil des Werks.

Verteidigung adressiert vor allem die Sichtbarkeit nach außen: aktuelle Frontend-Stacks, DDoS-Schutz vor dem eigenen Server (Cloudflare, Akamai, AWS Shield), klare Krisen-Kommunikation, Backups für ein schnelles Defacement-Rollback.

05 · Abschnitt

Insider

Statistisch gesehen einer der unterschätzten Akteure. Insider haben schon legitime Zugänge — sie müssen keine Lücken finden, sondern bestehende Rechte missbrauchen oder erweitern. Verizon DBIR weist seit Jahren aus, dass ein erheblicher Teil aller Datenvorfälle interne Beteiligung hat (mal absichtlich, mal aus Versehen).

Subtypen:

  • Versehentliche Insider — geöffneter Phishing-Link, falscher Slack-Channel für einen Datei-Upload, vertrauliche Notizen in ein öffentliches Repo. Häufigster Vorfallstyp.
  • Frustrierte Mitarbeitende — kurz vor oder kurz nach Kündigung. Datendiebstahl, Sabotage, „Kundenstamm mitnehmen".
  • Käufliche Insider — gezielt von außen angesprochen, oft in Support-Rollen mit Datenzugang. Telekom-Mitarbeitende für SIM-Swaps, Bank-Insider für Konto-Recon.
  • Externe Insider — Dienstleister, Praktikanten, ehemalige Mitarbeitende mit nie deaktivierten Accounts. Off-Boarding-Lücken sind ein Klassiker.

Gegenmaßnahmen sind unspektakulär, aber wirksam:

  • Least Privilege mit regelmäßigem Review — wer braucht welche Rechte noch?
  • Vollständiges Off-Boarding — Checkliste mit allen Diensten, nicht nur dem ID-Provider.
  • Audit-Logs für sensitive Aktionen — wer hat wann was exportiert?
  • DLP-Sensoren an den Endpunkten, wo es passt — riesige Downloads, Mass-Exports.
  • Kultur. Mitarbeitende, die merken, dass etwas seltsam ist, müssen reden können, ohne Karriere-Konsequenzen zu fürchten.
06 · Abschnitt

APTs und staatliche Akteure

APT steht für Advanced Persistent Threat — staatliche oder staatsnahe Gruppen mit erheblichen Budgets, langem Atem und teils eigenen 0-Day-Beständen. Bekannte Bezeichnungen sind APT28/29 (Russland-Zuschreibung), APT41/Volt Typhoon (China-Zuschreibung), Lazarus (Nordkorea-Zuschreibung), Charming Kitten (Iran-Zuschreibung). Die MITRE ATT&CK Groups-Datenbank listet öffentlich dokumentierte Aktivität pro Gruppe.

Charakteristisch:

  • Ressourcen. Eigene Toolchains, eingekaufte oder selbst entwickelte 0-Days, dedizierte Teams für Recon, Exfiltration, Tarnung.
  • Geduld. Wochen bis Jahre der Vorbereitung. Anfangs-Zugang oft über mundane Mittel (Spear-Phishing, kompromittierter Lieferant), danach langer interner Aufenthalt.
  • Tarnung. Aufwand wird in Detection-Vermeidung investiert — Living-off-the-Land, signierte Binaries, legitime Cloud-Services als C2.
  • Ziele. Politik, Diplomatie, Verteidigung, kritische Infrastruktur, Journalismus, Wirtschaftsspionage, oppositionelle Bewegungen.

Wer kein Ziel staatlicher Akteure ist (die große Mehrheit der Web-Anwendungen), profitiert trotzdem indirekt von APT-Verteidigung: Detection-Engineering, Hardware-Sicherheit und Lieferketten-Hygiene sind Techniken, die auch gegen organisierte Kriminelle wirken — die zunehmend APT-Techniken kopieren.

Wer Ziel sein könnte — Investigativjournalist:innen mit politischen Quellen, Exil-Aktivist:innen, Anwält:innen in heiklen Verfahren, Whistleblower:innen — sollte sich nicht auf eine Web-Doku verlassen. Spezialisierte Anlaufstellen:

07 · Abschnitt

Threat-Model: welche Profile sind für mich relevant?

Eine grobe Selbst-Einordnung, ohne Anspruch auf Vollständigkeit:

  • Privatperson, normale Online-Identität — Bots und Cyberkriminelle. Verteidigung: Passwort-Manager, 2FA, Software aktuell, Phishing-Awareness, Datenleck-Monitoring (HIBP).
  • Privatperson, exponierte Rolle (Politik, Journalismus, Aktivismus, prominentes Geschäft) — zusätzlich Spear-Phishing, gelegentlich Hacktivisten oder APTs. Verteidigung: Hardware-2FA-Keys, getrennte Geräte/Profile für sensible Arbeit, ggf. EFF-SSD-Module durchgehen.
  • Kleines Unternehmen / Solo-Selbstständige — Bots, organisierte Kriminalität (insb. BEC und Ransomware), Insider-Risiko bei Kündigungen. Verteidigung: Backups, 2FA, Awareness, einfacher Reverse-Proxy mit WAF.
  • Mittelstand / Konzern — alles oben, plus Insider, Hacktivisten und ggf. APTs (je nach Branche). Verteidigung: SOC, EDR, geplante Pentests, Incident-Response-Übungen, Bug-Bounty.
  • Kritische Infrastruktur, Behörde — APTs als realistisches Threat-Model. Verteidigung: spezialisierte Beratung, BSI-Vorgaben, sektor-CERTs.

Das hilft beim Investitions-Mix: ein Solo-Shop muss nicht das Detection-Engineering einer Bank haben — aber 2FA auf allen Konten und ein Backup, das wirklich restoreable ist, sind nicht verhandelbar.

08 · Abschnitt

Interessantes

APT-Nummerierung ist Vendor-spezifisch

Es gibt keine zentrale APT-Nummernregistry. Mandiant prägte APT1–APT41, CrowdStrike nutzt Tier-Namen (Fancy Bear, Cozy Bear, Lazarus), Microsoft hat 2023 auf Wetter-Codenamen umgestellt (Midnight Blizzard, Volt Typhoon). Verschiedene Vendoren beschreiben oft dieselbe Gruppe mit unterschiedlichen Namen — was Berichte schwer vergleichbar macht.

Verizon DBIR ist die jährliche Pflichtlektüre

Der Data Breach Investigations Report wertet jedes Jahr Tausende echter Vorfälle aus. Wer schnell verstehen will, welche Angreifer-Profile aktuell wirklich Schaden anrichten — und nicht nur in der Presse stehen — findet hier saubere Zahlen.

Ransomware-Banden haben Affiliate-Modelle

Viele Banden arbeiten als Ransomware-as-a-Service: die Kern-Operatoren entwickeln Malware und Infrastruktur, Affiliates führen die eigentlichen Einbrüche durch und teilen den Erlös (typisch 70/30 zugunsten der Affiliates). Strafverfolgung trifft daher oft nur Teile des Ökosystems — die Marke kommt unter neuem Namen zurück.

Insider sind oft nicht böswillig

In den meisten Fällen, in denen Daten über Insider abfließen, ist kein Vorsatz im Spiel — sondern ein verlorener USB-Stick, eine falsche Adresse im Mail-Verteiler, ein kopierter Inhalt in der falschen Cloud-Notiz. Verteidigung muss das mit-modellieren: nicht nur böse Insider, auch müde Mitarbeitende.

Hacktivismus hat sich seit 2022 verschoben

Mit dem russischen Angriff auf die Ukraine entstanden große, koordinierte Kollektive (IT Army of Ukraine, KillNet, NoName057(16)), die Linien zwischen Hacktivismus, staatsnaher Operation und Cybercrime verschwimmen lassen. Wer einen klaren Akteurs-Begriff erwartet, wird hier enttäuscht.

"Script Kiddie" ist eine Disqualifikation

Der Begriff stammt aus der frühen Hacker-Kultur und wird abwertend genutzt: jemand, der fertige Tools benutzt, ohne sie zu verstehen. Operativ ist die Unterscheidung irrelevant — der Schaden eines automatisierten Tools hängt nicht davon ab, ob der Bediener die Lücke selbst entdeckt hat.

Weiterführende Ressourcen

Externe Quellen

/ Weiter

Zurück zu Grundlagen

Zur Übersicht